Les entreprises qui emploient du personnel à distance doivent prendre des mesures supplémentaires pour sécuriser leurs données et gérer l'accès des employés.
Cet article s'articule autour des points suivants :
Contenu associé
Contrôle des accès
Qu'est-ce que l'lAM ?
Sécurité Zero Trust
Passerelle web sécurisée
Qu'est-ce qu'un CASB ?
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Le règlement général sur la protection des données (RGPD) est une loi exhaustive sur la confidentialité des données qui établit un cadre pour la collecte, le traitement, le stockage et le transfert des données personnelles. Il exige que toutes les données personnelles soient traitées de manière sécurisée, et prévoit des amendes et des sanctions pour les entreprises qui ne se conforment pas à ces exigences.
Il peut être difficile pour une entreprise de se conformer au RGPD, et le fait de recourir au télétravail implique des complications supplémentaires. Lorsque certains employés et sous-traitants d'une entreprise, voire tous, sont employés en télétravail, les équipes chargées des questions relatives à la protection des données en interne peuvent avoir moins de contrôle et de visibilité en ce qui concerne la sécurité des données. La mise en place de politiques de sécurité rigoureuses en matière d'accès à distance peut contribuer à protéger les données personnelles et confidentielles qui sont couvertes par le RGPD.
Une politique en matière d'accès à distance est un ensemble de normes de sécurité applicables aux employés et aux appareils utilisés à distance. En général, c'est l'équipe informatique ou chargée de la sécurité des données d'une entreprise qui élabore la politique. L'utilisation de réseaux privés virtuels (VPN), l'installation de logiciels antivirus sur les appareils des employés et l'authentification multi-facteurs (MFA) sont autant d'exemples d'éléments qui peuvent être inclus dans une politique de sécurité en matière d'accès à distance.
Le RGPD est un ensemble très large de règlements. Entre autres choses, il exige plusieurs actions spécifiques que les contrôleurs de données et les processeurs de données doivent prendre. En voici quelques-unes :
Les exigences complètes pour les contrôleurs de données et les processeurs de données sont décrites dans le site RGPD.
En outre, dans la mesure où la sécurité des données constitue une composante essentielle du RGPD, les entreprises qui autorisent leurs employés à travailler à distance doivent veiller à prendre les mesures nécessaires pour protéger les données auxquelles leurs employés ont accès à distance.
Ainsi, ce qui suit correspond à un aspect très important de toute politique d'accès à distance (liste non exhaustive) :
Les données en transit sont des données qui circulent d'un point A à un point B. Il peut par exemple s'agir de données circulant entre une application SaaS et l'appareil d'un utilisateur. Les données au repos sont des données stockées, par exemple sur le disque dur de l'ordinateur portable de l'utilisateur. Dans les deux cas, les données doivent être sécurisées.
Le contrôle de l'accès et le chiffrement sont des technologies fondamentales en matière de protection des données. Comme tous les autres employés, les personnes travaillant à distance doivent avoir un motif valable pour accéder à des données personnelles, et leur accès à ces données doit être contrôlé. Les technologies de gestion de l'identité et des accès (IAM) permettent d'empêcher les utilisateurs non autorisés de consulter et de modifier les données.
En outre, les données transitant via les réseaux, y compris sur Internet, doivent être chiffrées avec le protocole HTTPS, un VPN ou au moyen d'une autre méthode. (Les applications fonctionnant en cloud peuvent compliquer cette règle pour les employés travaillant à distance. Lisez cet article concernant les VPN d'entreprise pour en savoir plus.) En outre, les données doivent être chiffrées lorsqu'elles sont stockées ou « au repos » dans les serveurs et les disques durs. Pour y parvenir, les équipes informatiques doivent faire appliquer leurs politiques de sécurité pour assurer le chiffrement sur tous les appareils, même sur les appareils personnels des employés dans certains cas.
Les postes de travail des employés travaillant à distance (ordinateurs portables, ordinateurs de bureau, smartphones, etc.) doivent être protégés contre les cyber-attaques, car toute infection par un logiciel malveillant peut entraîner une violation de données. Les appareils doivent être dotés au minimum d'un logiciel antivirus. Une passerelle de sécurité Web peut également contribuer à protéger les employés lorsqu'ils naviguent sur Internet.
Toutefois, les pertes d'appareils sont encore plus fréquentes que les infections par des logiciels malveillants : les oubliés oublient parfois des ordinateurs portables ou des smartphones contenant des données confidentielles dans un lieu public. C'est également pour cela que le chiffrement des appareils est extrêmement important.
Les attaques par hameçonnage demeurent l'une des principales sources de fuites de données. Une attaque par hameçonnage est une attaque qui consiste à amener par la ruse un utilisateur à communiquer ses informations de connexion, ce qui permet de lui voler son compte. Les conséquences d'un vol de compte peuvent être désastreuses pour une entreprise qui essaye de respecter la réglementation, car le pirate peut alors l'infiltrer et consulter, divulguer ou voler les données des clients.
Les attaques par force brute et ayant recours aux mots de passe les plus courants peuvent également aboutir à des vols de comptes, les entreprises doivent donc appliquer une politique stricte en matière de mots de passe. Personne ne doit pouvoir deviner le mot de passe d'un employé, et celui-ci doit pouvoir résister à la plupart des attaques menées par des bots. Dans la mesure du possible, les entreprises doivent instaurer un système de double authentification pour chaque application utilisée par l'entreprise.
En savoir plus sur la manière de prévenir les attaques par usurpation de compte.